Jump to content

Постоянно находит HEUR:Exploit.MSOffice.Generic


Sergio_1808

Recommended Posts

На компьютере Касперский обнаружил зараженный экселевский файл с данными. После обнаружения файл удалил.  Этот же файл находился в облаке Маил, там с какого-то момента файл тоже стал удаляться.

Поскольку данные в файле нужны, я создал новый документ и вручную скопировал туда данные из старого, назвал по-другому и сохранил на компьютере и в Облаке.

Как итог-файл снова удаляется антивирусом и с облака и с почты.

В чем проблема? обновить офис или добавить в исключения? 

Link to comment
Share on other sites

Файл прикладываю.

Вообще получается странная история. У меня имеется копия файла в другой папке на компьютере(тоже в облаке, но интегрировано в Диспетчер файлов Windows -приложение Маил Облако). Когда антивирус удаляет файл из Облака, я копирую его в ту же папку из другой. В моей другой папке файл антивирус не трогает, но как только копирую в Общедоступную папку облака, то касперский на компьютере его удаляет, либо это делает встроенный в Облако антивирус. 

Как писал ранее я пробовал создать Эксель с нуля, скопировав вручную данные со старого. кидаю в папку в облаке и как только коллеги пытаются его открыть, сразу помечается как зараженный..

Link to comment
Share on other sites

@Sergio_1808 , не получается воспроизвести.
скачал ваш файл, открыл в Excel 2016, антивирус никак реагирует

закачал фаил в облако, через обозреватель, https://cloud.mail.ru/public/3LPc/4jJqbbN3E

снова скачал, открыл в Excel 2016, антивирус вновь не реагирует.

Попробуйте экспортировать подробный отчет в текстовый файл, файл приложите в ответном сообщении

Link to comment
Share on other sites

@Sergio_1808 , не получается воспроизвести.
скачал ваш файл, открыл в Excel 2016, антивирус никак реагирует

закачал фаил в облако, через обозреватель, https://cloud.mail.ru/public/3LPc/4jJqbbN3E

снова скачал, открыл в Excel 2016, антивирус вновь не реагирует.

Попробуйте экспортировать подробный отчет в текстовый файл, файл приложите в ответном сообщении

Добрый вечер. А о каком отчете идет речь, как его экспортировать? 

Link to comment
Share on other sites

@Sergio_1808, в главном окне программы нажмите кнопку “Больше функций”.

Потом “Отчеты” - “Подробные отчеты”. В селекторе слева вверху выберите отчет в котором будет запись об обнаруженном оъекте. Это будет скорее всего “Обнаруженные объекты”.

Выберите нужную запись и нажмите кнопку “Экспорт” справа вверху.

Можно еще показать скриншот окна с этой записью.

 

 

Link to comment
Share on other sites

@Sergio_1808, в главном окне программы нажмите кнопку “Больше функций”.

Потом “Отчеты” - “Подробные отчеты”. В селекторе слева вверху выберите отчет в котором будет запись об обнаруженном оъекте. Это будет скорее всего “Обнаруженные объекты”.

Выберите нужную запись и нажмите кнопку “Экспорт” справа вверху.

Можно еще показать скриншот окна с этой записью.

 

 

Спасибо, прикладываю 

Link to comment
Share on other sites

Антивирус его лечит

11.06.2020 12.56.57	Обнаруженный объект (файл) вылечен	\\Disk-O\bartman_bk_ru\Эксперт\Исполнители2.xlsx	Файл: \\Disk-O\bartman_bk_ru\Эксперт\Исполнители2.xlsx	Время: 11.06.2020 12:56 11.06.2020 12.56.57	Обнаруженный объект (файл) удален	\\Disk-O\bartman_bk_ru\Эксперт\Исполнители2.xlsx//xl/worksheets/_rels/sheet1.xml.rels	Файл: \\Disk-O\bartman_bk_ru\Эксперт\Исполнители2.xlsx//xl/worksheets/_rels/sheet1.xml.rels	Название объекта: HEUR:Exploit.MSOffice.Generic	Тип объекта: Троянская программа	Время: 11.06.2020 12:56

может вы выложили вылеченный? и еще, нет ли какого макроса в шаблоне или в документе. Пункт Макросы в  Меню Вид программы Excel

Link to comment
Share on other sites

Антивирус его лечит

 11.06.2020 12.56.57	Обнаруженный объект (файл) вылечен	\\Disk-O\bartman_bk_ru\Эксперт\Исполнители2.xlsx	Файл: \\Disk-O\bartman_bk_ru\Эксперт\Исполнители2.xlsx	Время: 11.06.2020 12:56 11.06.2020 12.56.57	Обнаруженный объект (файл) удален	\\Disk-O\bartman_bk_ru\Эксперт\Исполнители2.xlsx//xl/worksheets/_rels/sheet1.xml.rels	Файл: \\Disk-O\bartman_bk_ru\Эксперт\Исполнители2.xlsx//xl/worksheets/_rels/sheet1.xml.rels	Название объекта: HEUR:Exploit.MSOffice.Generic	Тип объекта: Троянская программа	Время: 11.06.2020 12:56

может вы выложили вылеченный? и еще, нет ли какого макроса в шаблоне или в документе. Пункт Макросы в  Меню Вид программы Excel

Все верно, высылал скорее всего не удаленный файл, поскольку когда его обнаружает антивирус, то сразу удаляет. Попробовал вложить файл с облака ( похоже вылеченный). при открытии выдает ошибку, все таблицы сбиты.

Link to comment
Share on other sites

Здравствуйте, @Sergio_1808 ,

Возможно это ложное срабатывание эвристического анализатора антивируса, чтобы это исправить (проанализировать) нужно собрать трассировки программы с детектированием и удалением HEUR:Exploit.MSOffice.Generic и отправить в техническую поддержку с подробным описанием проблемы и проблемным файлом в архиве с паролем: virus или infected, чтобы они передали запрос ВирЛаб на анализ ложного срабатывания.

Приложите отчет с вашей системы.

Link to comment
Share on other sites

Здравствуйте, @Sergio_1808 ,

Возможно это ложное срабатывание эвристического анализатора антивируса, чтобы это исправить (проанализировать) нужно собрать трассировки программы с детектированием и удалением HEUR:Exploit.MSOffice.Generic и отправить в техническую поддержку с подробным описанием проблемы и проблемным файлом в архиве с паролем: virus или infected, чтобы они передали запрос ВирЛаб на анализ ложного срабатывания.

Приложите отчет с вашей системы.

Спасибо, попробую так сделать)

Link to comment
Share on other sites

@Sergio_1808, при попытке открыть файл выдается предупреждение что файл поврежден и запрос на восстановление. После восстановление выдается сообщение:

Была выполнена проверка на уровне файла с последующим восстановлением файла. Некоторые фрагменты документа могли быть восстановлены либо удалены.
Восстановленный компонент: Компонент /xl/worksheets/sheet1.xml. 
Удаленное свойство: Гиперссылки из части /xl/worksheets/sheet1.xml

Выкладываю восстановленный файл. Вроде бы он теперь нормально читается.

Скорее всего что-то в содержимом первого листа было воспринято антивирусом как вредоносный обьект и он его удалил.

 

Link to comment
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...